CCC-Stellungnahme: Staatstrojaner sind Hochrisiko-Schadsoftware

Anders als die Justizministerkonferenz spricht sich der Chaos Computer Club gegen eine Ausweitung des Einsatzes von Staatstrojanern aus. Der CCC begründet seine Ablehnung mit den entstehenden technischen Gefahren und unvermeidbaren Interessenkonflikten.

Staatstrojaner CC-BY 2.0 abraxas3d https://www.flickr.com/photos/w5nyv/6153621549/

Der Chaos Computer Club hat heute auf Anfrage der Linksfraktion im Thüringer Landtag eine Stellungnahme zum Staatstrojaner veröffentlicht. Der Club kommentiert darin die Forderung der Justizministerkonferenz vom Juni 2016, den Einsatz der Spionagesoftware auszuweiten.

Die Analyse des CCC bezieht sich auf die so genannte Quellen-TKÜ (Quellen-Telekommunikationsüberwachung), also einen staatlichen Trojaner zum Abhören von Kommunikation direkt auf dem Computer von Betroffenen. Das informationstechnische System wird dafür infiltriert, um danach unbemerkt Kommunikationsinhalte an Ermittlungsbehörden auszuleiten.

Sicherheitsrisiken, rechtliche Probleme, Interessenkonflikte

Der CCC argumentiert, dass die Kommunikationsüberwachung mit Spionagesoftware eine Reihe sicherheitsrelevanter Risiken, aber auch beweistechnische und rechtliche Probleme erzeugt. Seit der CCC-Analyse des DigiTask-Trojaners zur „Quellen-TKÜ“ vor fünf Jahren hat sich allerdings auch der kommerzielle Handel mit Überwachungssoftware gewandelt. Der CCC verweist in seiner Stellungnahme daher auf die inhärenten Interessenkonflikte des Staates, wenn er für die Trojanisierung Sicherheitslücken aufkauft oder nutzt:

Anders als die Justizministerkonferenz argumentiert, ist aus Sicht des CCC die „Quellen-TKÜ“ kein „unverzichtbares Instrument der Strafverfolgung“, sondern eine mit hohen Risiken behaftete Schadsoftware. Würde die Nutzung solcher Software ausgeweitet, entstünden staatliche Interessenkonflikte: Denn Sicherheitslücken in informationstechnischen Systemen sind schnellstmöglich zu schließen und nicht von Staats wegen noch auszunutzen.

Der CCC setzt sich in seiner Stellungnahme zur Quellen-TKÜ (PDF) außerdem dafür ein, die Art der Systeme, die mit der Schadsoftware infiziert werden dürfen, zu reduzieren. Zwar versucht man sich derzeit vor allem an der Trojanisierung von Microsofts Windows-Betriebssystemen, aber in Zukunft können andere Systeme ins Visier geraten, deren Infektion besondere Gefahren für Menschen mit sich bringen.

Nicht auf laufende Kommunikation beschränkbar

Die tatsächliche Eingrenzung des Funktionsumfangs des Trojaners auf nur laufende Kommunikation sei eine bloße Chimäre, wie der CCC am praktischen Beispiel erklärt:

Die Herausforderung lässt sich am Beispiel von per Web-Browser aufgerufenen Kommunikationsdiensten wie Web-Mailern oder Social Networks verdeutlichen. Technisch sind diese von der Spionage-Software nicht vom Besuch von klassischen Websites zu unterscheiden. Eine „Quellen-TKÜ“ dürfte zwar das Formulieren einer E-Mail […] erfassen, nicht jedoch den Besuch aller anderen im Internet verfügbaren Websites, die vom selben Browser aufgerufen werden. Die Unterscheidung in spezifische Kommunikations- und beliebige andere Websites kann durch eine solche Software nicht treffsicher getroffen werden, ohne dabei „false positives“ oder „false negatives“ zu generieren. Um das Risiko zu minimieren, dass ein Kommunikationsvorgang nicht erfasst wird, wird in der Umsetzung der „Quellen-TKÜ“ das Risiko gleichzeitig maximiert, auch andere Vorgänge zu erfassen. (S. 6)

Dabei bestünde zugleich das Risiko, in den geschützten Kernbereich der privaten Lebensgestaltung des Betroffenen einzugreifen, also in seine höchstpersönliche Sphäre. Insgesamt lehnt der CCC nicht nur die Ausweitung der Nutzung von Staatstrojanern ab, sondern setzt sich auch weiterhin dafür ein, von einer behördlichen Spionagesoftware ganz abzusehen.

Linksfraktion in Thüringen gegen Staatstrojaner

Die Linksfraktion in Thüringen, auf deren Anfrage hin der CCC die Stellungnahme geschrieben hatte, wendet sich heute ebenfalls gegen heimliche Einbrüche in IT-Systeme. Deren Sprecherin für Datenschutz und Netzpolitik, Katharina König, begründet die Ablehnung:

In der Stellungnahme wird deutlich, dass sich diese Art der Überwachung weder zuverlässig noch technisch beweisbar auf laufende Kommunikation beschränken lässt und ein Eindringen in den Computer erforderlich ist, um genutzte Programme zu analysieren, Sicherheitsmechanismen zu umgehen und Daten auslesen zu können.

Wie im rot-rot-grünen Koalitionsvertrag in Thüringen vereinbart worden war, soll der Einsatz von Staatstrojanern in Zukunft unterbleiben.

Offenlegung: Unser Redaktionsmitglied Constanze Kurz ist Sprecherin des CCC.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

15 Ergänzungen

  1. Der CCC hat natürlich recht. Doch was ist die Alternative:
    a) TKÜ seltener machen. Das löst jedoch nicht das prinzipielle Problem dass der Staat damit ihm bekannte Sicherheitslücken offen lassen will als möglichst schnell für Sicherheit zu sorgen.
    b) Keine TKÜ mehr machen. Ein extremer aber zumindest widerspruchsfreier Standpunkt
    c) Hintertüren vorschreiben. Zum einen werden die Kriminellen sich Software besorgen, die diese Hintertüren nicht haben. Zum anderen besteht das Risiko des Missbrauchs der Hintertüren sowohl durch staatliche Stellen als auch durch Dritte.

    Man könnte jedoch Hintertüren bauen, die besser abgesichert sind, automatisch dem Benutzer nach Ablauf einer bestimmten Frist die Überwachung offenbaren und eine maximale Transparenz anbieten.

    Aktuell bezahlen wir Firmen dafür, dass sie unsere Kommunikation sicher machen. Dann bezahlen wir über Steuern dafür, dass der Staat andere Firmen oder Kriminelle beauftragt, diese Kommunikation wieder unsicher zu machen. In der Konsequenz haben wir weder eine sicherer Kommunikation noch eine Kontrolle des Zugriffs des Staates auf unsere Systeme.

    1. „Man könnte jedoch Hintertüren bauen, die besser abgesichert sind, automatisch dem Benutzer nach Ablauf einer bestimmten Frist die Überwachung offenbaren und eine maximale Transparenz anbieten.“

      Dann werden Kriminelle erst recht alternative Software verwenden, die diese Hintertüren nicht hat. So weit reicht der Arm der deutschen Behörden nicht, irgendwelchen Open-Source-Entwicklern auf einem anderen Kontinent vorzuschreiben, wie sie ihre Software entwickeln sollen. Bringt daher genau gar nichts.

    2. c) und „man könnte jedoch“ widersprechen sich.

      und darüber hinaus: wie wollen sie besser abgesicherte hintertüren bauen? wie diese im markt etablieren? wie alternativen verbieten?

      wenn ich dann für mich und meinen nachbarn etwas selbst programmiere, wo ihre backdoor nicht drin ist, werde ich dann sanktioniert? und wenn wir meinen nachbarn aus dem spiel lassen?

      ihr kommentar klingt bemüht und ambitioniert. auf sachlicher ebene sehe ich allerdings nur widerspŕüche und vermute irrtümer statt sachkunde.

      mit der bitte um vertiefung ihrer thesen,

      .~.

  2. Ich bin zwar kein Jurist….
    Ich sehe das Problem mit dem Staatstrojaner noch an einer anderen Stelle.
    Was ist denn z.B gerichtlich zu verwerten, wenn eine fremde Software auf meinen Rechner geladen wird. Hat sie dann gleich die benötigen fingierten Beweise mit hochgeladen?
    Wer kann das ausschließen und das Gegenteil beweisen.
    Das müsste doch ein Spaß für jeden Verteidiger sein, oder nicht?

    1. … das wäre eine Unterstellung einer Straftat!
      Wer wird denn „Ausspioniert“?
      Genau!
      … also ich würde einen „Dritten“ generieren, sobald ich mitbekomme, das ich ausspioniert werde …
      Im übrigen würde ich einen Rechner/Tablet mit einem RDP Client verwenden … um mich mit meinem „heißen Rechner“ zu verbinden, der wiederum Zugriffsgeschützt im Irgendwo seinen Strom zieht!

    2. …das ist einer der Punkte, die Absicht hinter all diesen ‚Schutzgesetzen‘.
      * durch Totalüberwachung rechtzeitig Kenntniss davon erlangen, wer welche Leaks vorbereitet, die belegen, wer seinen Dr.-Titel betrügerisch erworben hat, wer von wem Geld oder Bearater Job bekommen hat, wer welche Rüstungsdeals eingefädelt, wer Folter und Angriffskrieg duldet und unterstütz usw. usw. usw.
      * kommt man doch zu spät, spielt man irgendetwas verbrecherisches auf den Computer eines Whistleblowers oder eines unbequemen Fragestellers und diskrediert diesen oder schaltet ihn gleich nachhaltig aus … siehe Clinton, NSU

    3. „Was ist denn z.B gerichtlich zu verwerten, wenn eine fremde Software auf meinen Rechner geladen wird. Hat sie dann gleich die benötigen fingierten Beweise mit hochgeladen?“

      So etwas „fingiert“ der Jurist, kann nicht passieren, sind ja deutsche Beamte.

      Das gleiche Spiel findet doch millionenfach bei Download-Abmahnungen statt. Da gilt die Software der Überwacher per fingierter Definition als unfehlbar und bei den „Vorratsdaten“, also den Logs wer wann welche IP hatte, fragt auch keine Sau nach Eichamt oder einem qualifizierten digitalen Zeitstempel.

      Diese Daten sind auch nur wahr, weil sich Richter und Politik darauf geeinigt haben, dass sie wahr sein sollen, obwohl da mehr ginge! :)

  3. Naja, sagen wir es so. Der CCC muss sich ja dagegen aussprechen, nachdem er dem Staat erklärt hat wie man den Staatstrojaner verbessern kann…

    Hin oder her, ohne Quellen TKÜ geht es nicht.

  4. Macht doch einfach mal eine Tabelle, in der ihr vergleicht, was der frühere Bundestrojaner konnte und was Windows 10 von Haus aus bietet.

    1. Ich würde ja zu gerne mal Microsofts Strafverfolger-Preisliste für „Telemetrie Daten“ sehen!

      Was die wohl pro Megabyte aufrufen? :)

  5. Hm, wenn man wie ich keine Ahnung von TROJA hat und auch nicht von der COMPUTER EI, dann hilft nur noch der CHAOS CLUB ;-)
    Lieben Gruß SUSI

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.